Porta aperta 53 di Centos iptables

8

Ho problemi ad aprire la porta 53 sul mio computer centos, per la configurazione DNS.

Ecco la mia configurazione di iptables

-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT

Quando ho eseguito una scansione nmap della macchina, solo la porta 80 è stata visualizzata come aperta su di essa. Mi sto perdendo qualcosa?

MODIFICARE:

Iptable completo

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

-A INPUT -p udp -m state --state NEW,ESTABLISHED -m udp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -p tcp -m state --state NEW --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT -reject-with icmp-host-prohibited
-A FORWARD -j REJECT -reject-with icmp-host-prohibited
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
COMMIT
centos  iptables  firewall 
user1817081
fonte
Qual era la nmapriga di comando che hai usato?
Hauke ​​Laging,
nmap 192.168.1.2
user1817081
1
forse hai una caduta prima. -A aggiungere queste regole alla fine delle catene.
Laurentiu Roescu,
Una iptables --listsarebbe utile vedere. Dovrai anche disabilitare il firewall in system-config-firewall-tui(o nella tua interfaccia grafica), in modo da poterlo impostare manualmente con i comandi iptables, altrimenti riscriverà i tuoi iptables se lo usi. Suggerimento bonus, in centos (almeno) puoi fare una service iptables savevolta che hai finito, quindi le modifiche restano valide per il prossimo riavvio.
dougBTV,
2
Consenti solo UDP ma nmap non testa le porte UDP per impostazione predefinita. Hai bisogno di questo:nmap -sU -p 53 $host
Hauke ​​Laging,

Risposte:

12

La tua semantica è invertita.

Le regole che hai pubblicato consentono connessioni DNS in uscita a un server DNS remoto, non connessioni in entrata a un server DNS locale.

Per consentire le connessioni al server DNS locale, invertire le regole INPUT e OUTPUT:

-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --sport 53 -j ACCEPT

(E per favore prenditi qualche minuto ad un certo punto per rivedere il tuo firewall in modo che sia stato.)

Michael Hampton
fonte
2
È inoltre possibile consentire facoltativamente connessioni TCP se si eseguono AFXR o altri trasferimenti DNS.
jeffatrackaid,
Non bloccare le query TCP sul server DNS. Alcune risposte, come www.google.com, non rientrano nel pacchetto UDP e devono essere ripetute da TCP. Il TCP non è solo per i trasferimenti DNS, ma è necessario per le normali query.
Tometzky,
3

Usa -Iinvece di -A.

Poiché hai un server DNS in ascolto, ascolterà sulla porta 53, quindi dovrebbe essere la regola di input 

-I INPUT -p udp -m udp --dport 53 -j ACCEPT
Iain
fonte
0

Sei sicuro che il server DNS sia attivo? Anche se la porta è aperta, il servizio deve essere attivo. È possibile verificare ciò che è in ascolto localmente eseguendo un comando netstat. Inoltre, hai provato a spegnere completamente il firewall momentaneamente solo per vedere cosa si presenta?

Eric
fonte
Sì, sono sicuro che il DNS sia in esecuzione. Se ho disattivato iptables ed eseguo nmap sull'altra mia macchina, la porta viene visualizzata come aperta.
user1817081,
Puoi pubblicare la tua configurazione completa di iptables?
Eric
post aggiornamento vedi sopra
user1817081
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.